Les acteurs malveillants exploitent activement la faille CVE-2024-11680, une vulnérabilité critique dans ProjectSend, une application open-source de partage de fichiers basée sur PHP. Des exploits publics et un désintérêt généralisé pour l’application des correctifs ont exposé des milliers de serveurs au risque de compromission. Sur les quelque 4 000 serveurs ProjectSend accessibles publiquement, un pourcentage impressionnant de 99 % reste non mis à jour, permettant aux attaquants d’installer des webshells, de manipuler les configurations et d’obtenir un accès non autorisé.
| Produit | ProjectSend |
| Date | 27/11/2024 15:01:03 |
| Informations |
|
Résumé technique
La CVE-2024-11680, classée avec un score CVSS de 9.8, permet à des attaquants distants non authentifiés d’exploiter des contrôles d’autorisation inadéquats dans le point de terminaison options.php. Cette vulnérabilité permet des opérations privilégiées telles que :
- La création de faux comptes utilisateurs.
- L’activation de l’enregistrement des utilisateurs non autorisé et la validation automatique.
- La modification des paramètres de configuration.
- Le téléchargement de webshells malveillantes ou l’intégration de JavaScript pour des exploits ultérieurs.
La vulnérabilité a été divulguée par Synacktiv début 2023 et concerne les versions allant de r1605 à au moins r1270. Cela malgré la publication de la version r1720 de ProjectSend en mai 2023, qui corrige la faille.
L’exploitation a commencé à augmenter de manière significative à partir de septembre 2024, les attaquants utilisant des scripts publics Metasploit et Nuclei pour :
- Activer l’enregistrement des utilisateurs, obtenant ainsi un accès après authentification.
- Déployer des webshells pour garantir la persistance et mener des activités malveillantes.
Compte tenu de la très faible adoption du correctif, une augmentation rapide des attaques est prévue. Comprendre le vecteur de menace exploité dans cette campagne aide à contextualiser la gravité de l’exposition.
Recommandations
Appliquer immédiatement le correctif :
- Mettre à jour toutes les instances vers la version r1720 de ProjectSend ou une version ultérieure pour atténuer la vulnérabilité.
Limiter l’accès :
- Appliquer des contrôles d’accès, en limitant l’exposition des serveurs aux réseaux de confiance.
- Déployer des pare-feu d’applications web (WAF) pour filtrer les requêtes malveillantes vers
options.php.
Surveiller l’environnement numérique :
- Activer une surveillance proactive des menaces externes : un service de Threat Intelligence et Digital Risk Protection permet de détecter les signaux de compromission et les indicateurs d’attaque avant qu’ils ne se traduisent par des incidents concrets.
[Callforaction-THREAT-Footer]
